Затянувшийся прыжок
Алексей Сабанов, к.т.н., заместитель генерального директора Aladdin, CIO №1-2, 2010
В парашютном спорте есть понятие затяжного прыжка. Спортсмен намеренно затягивает раскрытие парашюта, надеясь на то, что основной парашют уложен правильно и раскроется при первом рывке кольца. Нечто подобное происходит сейчас с выполнением требований №152-ФЗ «О персональных данных». Немногие операторы, фактически выполнявшие требования закона до его появления, молчаливо удивляются, глядя на подавляющее большинство своих коллег. Не предпринимая активных действий, они, подобно пролетающему мимо новичку с нераскрытым парашютом, надеются на то, что купол каким-то образом раскроется сам на безопасном расстоянии от земли. При этом, ни о чем не подозревающие зрители (т.е. граждане, чьи персональные данные должны быть защищены) смотрят только на красоту полета раскрытых парашютов. В то время как судьям (регуляторам) немного не по себе: правила соревнований знают все спортсмены, сроки давно утверждены (весьма жесткие санкции за чрезмерное затягивание хоть и перенесены, но всего на год), почему до сих пор нет выполнения правил?
В этом плане показательным был недавний «Инфофорум». Дело в том, что тема защиты персональных данных (ПД) была включена практически во все последние конференции с участием представителей ИТ-компаний и специалистов по информационной безопасности (ИБ). Оценки реального положения дел с защитой ПД, а также изменения требований ожидали и от прошедшего 28-29 января 2010г. двенадцатого Национального форума информационной безопасности, организованного Комитетом Государственной Думы Российской Федерации по безопасности, Аппаратом Совета Безопасности РФ, Министерством связи и массовых коммуникаций РФ, ФАИТ и МВД РФ. Заметим, что «Инфофорум» традиционно является одним из центральных мероприятий по ИБ. Вопросам применения и совершенствования законодательства о персональных данных было посвящено второе пленарное заседание. Однако, несмотря на весьма представительный состав ведущих, которые, по сути «вытащили» данное мероприятие, некоторые слушатели были разочарованы. У неискушенных участников конференции создалось впечатление, что кроме законодателей и представителей банковского сообщества, а также связистов, никто не занимается вопросами защиты персональных данных глубоко, регулярно и всерьез. Не было и долгожданных докладов по развитию отраслевых типовых решений… Но грустно даже не это, а то, что данное мероприятие является зеркальным отображением действительности. Впрочем, давайте по порядку.
Немного истории
Федеральный закон «О персональных данных» был принят 27 июля 2006 г. Своим ускоренным появлением №152-ФЗ обязан Конвенции Совета Европы о защите личности в связи с обработкой персональных данных (1981г.), и, главным образом, принятой в 1995г. Директиве 95/46 Европейского парламента и Совета ЕС о защите прав частных лиц применительно к обработке персональных данных (ПД) и свободном движении ПД (имеет статус обязательного правового стандарта для стран-участниц ЕС).
А дальше начались проблемы: запоздалое появление уполномоченного федерального органа — сначала Роскомсвязьнадзора, а теперь Роскомнадзора, превысило все мыслимые сроки.
Роскомнадзор является подведомственной Министерству связи и массовых коммуникаций РФ федеральной службой, его деятельность регулируется Положением, утвержденным Постановлением Правительства РФ от 16.03.2009 №228. Он имеет достаточно развитый штат в Москве, охватывает около 80 регионов России и не имеет ограничений по сроку действия.
Задачи других регуляторов — ФСБ и ФСТЭК — оказались проще, но их выполнение тоже было сопряжено с трудностями. К функциям ФСБ отнесена проверка правильности применения криптографических преобразований для шифрования баз данных, содержащих ПД. Изменение требований по шифрованию, утвержденное решением ГосДумы в декабре 2009г., снизило непомерную нагрузку с этого ведомства, которое, к слову, достаточно оперативно доводило до операторов ПД свои требования в виде методических рекомендаций. ФСТЭК России оказался в более тяжелом положении. Год назад за весьма сжатый срок необходимо было разработать методические рекомендации операторам ПД по обеспечению безопасности ПД в ИСПДн, перечень основных мероприятий по организации и техническому обеспечению безопасности ПД, базовую модель угроз безопасности ПД и саму методику определения актуальных угроз безопасности ПД при их обработке в ИСПДн. Также указанное ведомство является «крайним» и для оперативного проведения основных согласований по моделям угроз, типовым моделям нарушителей, сертификации комплексных систем защиты информации и аттестации ИСПДн.
Как в своё время №1-ФЗ «Об ЭЦП», новый закон оживил рынок с точки зрения ожиданий разработчиков, интеграторов, заказчиков и регуляторов. Но вновь на пути практической реализации основных положений №152-ФЗ возникли обстоятельства почти непреодолимой силы. Почему? Потому, что все три стороны (государство, общество и граждане) оказались не готовы к выполнению требований по защите персональных данных. В итоге сегодня вероятность внесения существенных поправок в законодательство о защите ПД реальна как никогда.
Парламентские слушания и решение ГосДумы
Эта вероятность появилась после состоявшихся 20 октября 2009 г. Парламентских слушаний на тему «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных» и последующего в декабре решения ГосДумы. На Парламентских слушаниях руководители министерств и ведомств, не имевших ранее опыт защиты ПД, оценивали реальные возможности защиты персональных данных в заданный законом срок весьма скептически. Это звучало в докладах представителей министерства образования, министерства здравоохранения и социального развития, Союза страховщиков России и др.
На этих слушаниях операторы высказали много претензий в сторону формулировок закона и подзаконных актов. Так, они отметили, что в законодательстве имеется дисбаланс в сторону интересов субъектов ПД, в то время как реальные возможности операторов не учитываются. Также операторы столкнулись с различными трактовками основных положений №152-ФЗ в регионах, недостатком разъяснений со стороны регуляторов и избирательным применением закона. Отмечено, что требования ФСТЭК России по лицензированию деятельности, по технической защите информации, сертификации средств защиты информации, аттестации ИСПДн подразумевают наличие объемных материальных и трудовых ресурсов, чего нет в бюджетных организациях, а у коммерческих структур выполнение требований в итоге могло привести в существенному удорожанию услуг оператора.
По итогам Парламентских слушаний 18 декабря 2009 г. ГосДума приняла в третьем чтении поправки к статьям 19 и 25 закона «О персональных данных». Срок приведения информационных систем персональных данных в соответствие с данным законом перенесли на 1 января 2011 г. Кроме того, из закона исключена норма, обязывающая оператора при обработке персональных данных использовать шифросредства для защиты данных.
Отсрочка дает возможность в течение года внести в закон целый ряд других поправок, которые помогут устранить внутренние противоречия. С одной стороны, закон еще нужно совершенствовать в части защиты персональных данных, а с другой — убрать из него лишнюю нагрузку, которая обременяет операторов ИСПДн и при этом не помогает защищать данные. Собственно, речь идет о требованиях по использованию технических и программных средств защиты, которые в Европе, например, носят лишь рекомендательный характер. Кроме того, изменения могут коснуться целого ряда других законов, где фигурируют персональные данные.
Точка перегиба
Реальное положение дел с защитой ПД для различных предприятий существенно отличается друг от друга. По сути, произошло расслоение предприятий по степени готовности к предстоящим проверкам как со стороны граждан, желающих узнать о целях и правильности обработки их данных, так и со стороны проверяющих органов. Те, кто защищал данные до появления требований по защите ИСПДн, находятся в более выигрышном положении: им надо доработать нормативную документацию, проверить применяемые СЗИ на соответствие текущим требованиям и незначительно перестроить информационные потоки. Гораздо тяжелее тем, у кого нет опыта защиты конфиденциальных данных, нет необходимых для этого средств, а, главное, нет специалистов по защите информации, готовых если не проводить весь комплекс работ (начиная с обследования и классификации ИС), то хотя бы грамотно ставить задачи и контролировать привлеченных лицензиатов ФСТЭК и ФСБ для проведения соответствующих работ.
Фактически сегодня, получив передышку, операторы и те представители министерств, кто активно выступал на Парламентских слушаниях, успокоились, одержав победу. На практике многие вопросы просто «подвисли». Почему-то до сих пор не слышно объявления тендеров на разработку обещанных типовых отраслевых решений по защите ПД. На деле мы получили еще одно расслоение: кто-то ожидает изменения законодательства, кто-то надеется получить «коробочное» решение в виде таблетки от головной боли для защиты ПД, кто-то потихоньку старается навести порядок со своими информационными системами, обрабатывающими ПД. Главный вопрос дня: что мы хотим получить — «бумажную» или реальную безопасность? — так и остался открытым.
В заключение вернемся к нашему сравнению ситуации вокруг №152-ФЗ с парашютным спортом. Выполняя рискованный трюк, парашютист, роль которого мы отвели оператору ПД, летит с большой скоростью. Адреналин в крови: и страшно, и весело, и дух захватывает. Но вот раскроется ли парашют? И все ли парашютисты действительно контролируют ситуацию или они только думают, что это так?
Риск действительно велик, ведь если ответственность за нарушение №152-ФЗ не изменится, то первая же проверка оператора может привести к неприятным последствиям вплоть до приостановления действия или аннулирование лицензий на основной вид деятельности компании. Для некоторых компаний это будет означать одно: парашют не раскрылся. И в этом случае уже поздно будет думать о том, стоило ли рисковать с затяжными прыжками?